关于思科 ISE 多漏洞组合漏洞预警

近日，博智安全观测到securityweek博客发布了关于思科ISE多漏洞组合利用漏洞预警，思科身份服务引擎 (ISE) 中的多个漏洞可能允许远程攻击者注入任意命令、绕过现有安全保护或执行跨站点脚本 (XSS) 攻击。

思科ISE是基于身份的网络访问控制 (NAC) 和策略执行系统，可使管理员控制端点访问权限并管理网络设备。

一、漏洞介绍

ISE 的研究人员总共发现了四个漏洞，所有漏洞的利用都需要攻击者对 ISE 系统具有有效授权。

这些漏洞中最严重的是 CVE-2022-20964，这是 ISE 基于 Web 的管理界面 tcpdump 功能中的一个命令注入错误。存在高严重性错误是因为未正确验证用户输入。

“拥有足够权限访问 tcpdump 功能的攻击者可以通过操纵对基于 Web 的管理界面的请求来包含操作系统命令来利用此漏洞，”思科在一份公告中解释说。

成功利用此漏洞可能允许攻击者在底层操作系统上执行任意命令。如果与其他缺陷相结合，该漏洞可能允许攻击者将特权提升为 root 并有可能接管易受攻击的系统。

根据发现这些漏洞的 Yoroi 安全研究员 Davide Virruso 的说法，思科强调了 CVE-2022-20964 对机密性、完整性和可用性的影响，因为可以利用该安全漏洞在操作系统上获得 root shell。

安全研究人员告诉SecurityWeek ，通过将 CVE-2022-20964 与CVE-2022-20959联系在一起，CVE-2022-20959是思科在 10 月份修补的 ISE 中的一个 XSS 漏洞，该漏洞是由于输入验证不足造成的。攻击者可以通过基于 Web 的管理界面的经过身份验证的管理员单击恶意链接来利用此漏洞。

成功的利用可能允许攻击者在受影响界面的上下文中执行任意脚本代码或访问敏感的、基于浏览器的信息，利用该漏洞组合从易受攻击的系统上获得远程 root shell 。

跟踪为 CVE-2022-20965，另一个错误被描述为基于 Web 的管理界面中的访问绕过。根据 Virruso 的说法，此访问控制问题扩大了链式漏洞利用的攻击面，使许多用户面临攻击。

通过利用此漏洞，“经过身份验证的远程攻击者能够下载该功能生成的文件，从而导致泄露他或她不应访问的信息，”Yoroi 解释道。

其余安全缺陷——CVE-2022-20966 和 CVE-2022-20967——可能导致 XSS 攻击。这两个缺陷分别在基于 Web 的管理界面的 tcpdump 和外部 RADIUS 服务器功能中发现。

利用这些漏洞的攻击者可以在应用程序界面中存储恶意 HTML 或脚本代码，并使用该代码进行 XSS 攻击。

思科表示，解决这些漏洞的补丁计划在 2023 年第一季度以思科 ISE 版本 3.1p6 和 3.2p1 的形式发布。

这家科技巨头鼓励客户联系它获取热补丁，并表示它还在评估可能发布的 ISE 2.7 和 3.0 版补丁。

Virruso 告诉SecurityWeek，针对这些漏洞的概念验证 (PoC) 代码将于明年发布。在其公告中，思科警告说，PoC 可能会在补丁发布后可用。

二、危害影响

思科ISE多漏洞组合利用获取root shell权限以及获取敏感信息。

三、修复建议

暂无补丁程序，请关注官方动态。

来源：https://www.securityweek.com/cisco-ise-vulnerabilities-can-be-chained-one-click-exploit